Am 13. November 2025 hat der Bundestag das NIS-Gesetz verabschiedet. Mit Inkrafttreten sind rund 30.000 Betriebe in Deutschland verpflichtet, bis spätestens März 2026 die neuen gesetzlichen Vorgaben umzusetzen. Bei Nichtbeachtung drohen erhebliche Bußgelder.
Mindeststandards für IT-Sicherheit
Ab sofort müssen betroffene Unternehmen bestimmte Mindeststandards im Bereich IT-Sicherheit einhalten und deren Umsetzung umfassend dokumentieren. Zu den Pflichten zählen insbesondere:
- Durchführung von Risikoanalysen
- Erstellung und Pflege von Notfallplänen
- Einrichtung von Backup-Konzepten
- Einsatz von Verschlüsselungstechnologien
Auch Zulieferer sind betroffen: Sie müssen voraussichtlich vertragliche Vereinbarungen vorlegen, um die Einhaltung ihrer eigenen Sicherheitsstandards gegenüber den betroffenen Betrieben nachzuweisen.
Meldefristen und Berichtspflichten
Unternehmen sind verpflichtet, sich innerhalb von drei Monaten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Im Falle eines Sicherheitsvorfalls muss innerhalb von 24 Stunden eine Meldung an das BSI erfolgen. Zusätzlich ist spätestens nach 72 Stunden ein Zwischenbericht einzureichen.
Das BSI erhält weitreichende Aufsichtsrechte und kann selbstständig Bußgelder verhängen.
Kritische Komponenten und Widerstand der Wirtschaft
Kurzfristig wurde in das NIS2-Gesetz die Möglichkeit aufgenommen, den Einsatz kritischer Komponenten zu untersagen. Gegen diese Regelung regt sich bereits Widerstand, insbesondere von Seiten der Bitkom. Die Wirtschaft fordert verlässliche Investitionsbedingungen und klare Regeln.
Handlungsempfehlung
Sie sind unsicher, ob Ihr Unternehmen betroffen ist oder wie Sie die Anforderungen umsetzen können? Wenden Sie sich an unsere Experten. Wir beantworten Ihre Fragen und unterstützen Sie bei der Implementierung des NIS2-Standards.
Tel: 030 893 673 100